Studie zum Datenschutz

Amazon, Netflix und Spotify fallen durch

Eine Studie der Heinrich-Böll-Stiftung untersucht den Datenschutz bei Amazon, Netflix und Spotify in der EU und in den USA. Sie zeigt, dass die Unternehmen längst nicht alle Vorgaben der DSGVO zufriedenstellend umsetzen.

Digitales Fenster: Bei Amazon, Spotify und Netflix müssen Nutzer:innen ihre Privatsphäre weiterhin selbst schützen. CC-BY 4.0 Afsal CMK

Die Heinrich-Böll-Stiftung und der Trans Atnaltic Consumer Dialogues haben sich in einer Studie mit dem Datenschutz auf Amazon, Netflix und Spotify beschäftigt. Im Grundsatz zeigt die Studie, dass EU-Nutzer:innen der drei Dienste trotz der Datenschutzgrundverordnung (DSGVO) nicht verhindern können, durch unternehmenseigene und externe Tracker überwacht zu werden. Dies gilt auch für die ebenfalls untersuchten Android-Apps der Dienste.

Zudem seien die Datenschutzbestimmungen unverständlich und an vielen Stellen auch nicht ausreichend spezifisch. Das von der DSGVO geschaffene Recht auf Datenauskunft werde zudem nur unzureichend erfüllt.

Für die Studie hat der freie Datenschutzberater Pat Walshe jeweils die US-amerikanische und die EU-Version der Dienste untersucht. Zum einen nahm er sich dafür die Texte der Datenschutzbestimmungen selbst vor. Zum anderen ließ er fünf Personen jeweils einen neuen Account anlegen, um die Informationspolitik gegenüber neuen Nutzer:innen zu analysieren und elf weitere Personen versuchen, ihre Daten abzufragen.

Als rechtlicher Vergleichsrahmen dienen die Datenschutzgrundverordnung (DSGVO) in der EU und der jüngst verabschiedete California Consumer Privacy Act (CCPA) im US-Bundesstaat Kalifornien, der zum 1. Januar 2020 in Kraft tritt.

Verständnis ausgeschlossen

Dier Ergebnisse der Studie haben es in sich: Die Datenschutzrichtlinien sind bei keinem der Konzerne leicht verständlich formuliert. Walshe zeigt dies anhand der potenziellen Lesezeit, die bei allen Diensten deutlich mehr als zehn Minuten beträgt, bei Spotify sogar mehr als 20 Minuten.

Außerdem untersuchte er die Lesbarkeit mithilfe des Flesch-Lesbarkeitsindex. Hier landen alle Richtlinien in der zweithärtesten Kategorie „schwer“. Damit sei für viele Nutzer:innen quasi ausgeschlossen, dass sie verstehen, was mit ihren Daten passiert.

Tabelle zur Länge und Lesbarkeit der Datenschutzbestimmungen
Länge, Zeitaufwand und Lesbarkeit der unterschiedlichen Rechtsinformationen. CC-BY-NC-ND 4.0 Screenshot | Pat Walshe, Heinrich-Böll-Stiftung

Während Spotify und die europäische Amazon-Seite immerhin klare Zwischenüberschriften in ihren Richtlinien setzen und damit die Orientierung erleichtern, verzichten Netflix und das amerikanische Amazon sogar auf diese simple Maßnahme. Außerdem informiere kein einziges Unternehmen darüber, warum bestimmte Informationen verarbeitet werden.

All dies führe dazu, dass „keines der Unternehmen es leicht macht, zu verstehen, welche Daten genutzt werden und wofür.“

Unvollständige Datenauskunft

Auch in Bezug auf das Einverständnis zur Datenverarbeitung hat der Autor problematische Aspekte ausfindig gemacht. Durch den Test mit neu angelegten Accounts kann er zeigen, dass das Einverständnis in die Datenverarbeitung standardmäßig aktiviert ist. Dies gilt bei allen drei Unternehmen sowohl in den USA als auch in der EU.

Bei Cookie-Hinweisen zeigt die Studie eine klare Wirkung der DSGVO – allerdings keine über Europa hinausreichende. Solche Hinweise, deren Effektivität umtritten ist, werden nur bei den EU-Versionen der Dienste angezeigt werden. Bei Tracking durch Dritte sieht es allerdings auch hierzulande schlechter aus, obwohl in der DSGVO auch für diese Tracker eine transparente Information vorgesehen ist. Die Studie zeigt, dass keines der Unternehmen ausreichend über die Datensammlung durch Dritte informiert.

In Bezug auf die Datenauskunft gibt es klare Unterschiede zwischen den Unternehmen. Amazon bietet diese Möglichkeit zwar nur in der EU, bearbeitet Anfragen jedoch sehr schnell. Spotify hingegen ließ eine Anfrage auf die Herausgabe der personenbezogenen Daten mehr als eineinhalb Monate unbeantwortet. Netflix wiederum gewährt die Auskunft nur nach Vorlage eines offiziellen Ausweisdokumentes, was einen möglichen Bruch der DSGVO darstelle.

Selbst wenn die Testpersonen am Ende jeweils einen Datensatz erhalten haben: Die Studie kommt zu dem Schluss, dass es sich dabei nicht um alle verarbeiteten personenbezogenen Daten handelt. Werbeprofile und damit verbundene Daten würden fehlen.

Die untersuchten Android-Apps von Amazon und Spotify tracken die Nutzer:innen ebenfalls, auch ohne sie vorab zu informieren. Diese Datenverarbeitung sei auch durch Einstellungen nicht vollständig zu verhindern. Deshalb hätten Nutzer:innen „keine Wahl, wenn sie die Apps benutzen möchten“, so die Studie.

Bessere Aufsicht und Regulierung empfohlen

Insgesamt lässt sich feststellen, dass Nutzer:innen in der EU deutlich besser dran sind, als in den USA. Es sei jedoch hier wie dort noch viel zu tun, um sie transparent und prägnant über die Nutzung ihrer persönlichen Daten aufzuklären.

Walshe empfiehlt dafür eine bessere Aufsicht über die Umsetzung von Datenschutzbestimmungen und damit verbunden auch eine striktere Rechtsdurchsetzung. Explizite Erwähnung finden auch Daten- und Verbraucherschutzorganisationen, die weiterhin „Fälle an die Aufsichtsbehörden herantragen müssen“.

Die EU-spezifischen Empfehlungen betreffen vor allem die Aufsichtsbehörden. Neben der umfassenderen Aufsicht sollten diese auch verstärkt Anleitungen und Ratschläge bereitstellen. Dies gelte auch für die anstehende Implementierung des California Consumer Privacy Act in Kalifornien. Da dieser nur in Kalifornieren gilt, empfiehlt Walshe den USA, ein bundesweites Datenschutzgesetz zu verbaschieden. Dieses müsse – erstmals in den USA – eine unabhängige Datenschutzbehörde etablieren, die „angemessen machtvoll und gut ausgestattet“ sein soll.

Korrektur 30.12.2019: In einer vorherigen Version hieß es, die Studie sei von der Heinrich-Böll-Stiftung. Dies war unvollständig. Ebenfalls beteiligt war der Trans Atlantic Consumer Dialogue. Die Information wurde ergänzt.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

Eine Ergänzung
  1. Und was ist mit den Nutzern, die gar nichts mit Amazon, Spotify und was weiß ich zu tun haben? Die haben nie irgendetwas zugestimmt, werden aber trotzdem ausspioniert. Jede Website mit Link zu Amazon, Facebook usw. trackt die IP. Dass Spotify, Amazon… die Browserfingerprints mit Javascript auslesen und den http-Header natürlich, steht nirgends. Beides reicht schon für eine Identifikation. Alexa hört ALLE mit, auch die, die nie zugestimmt haben. So kann jeder identifiziert werden (Stimmenprofil) und auch verfolgt h(eute hier aufgenommen, morgen da). Steht in keiner „Datenschutzbestimmung“ und selbst wenn, wer kein Kunde von denen ist, hat nie zugestimmt, wird aber trotzdem überwacht. Amazon, Faceboook, Spotify, Google….. sind ein eiziger riesiger Datenschutzverstoß. Genauso wie der Staat!!!

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.